apache & ssl

[Mephisto]

Bonjour

Une petite question à vous soumettre.

Disposant d'un serveur Apache, et de certificats fonctionnants (enfin, jsais pas comment ça marche, mais c'est pas mon problème).

Je veux être capable de passer mon serveur en:

- accès http unique

- accès http+https

- accès https unique

la personne s'étant occupé des certifs m'a assuré que commenter les Listen (dans httpd.conf et extra/httpd-ssl.conf) suffirait (bien sûr, après restart du serv.) à changer le mode d'écoute.

il semblerait que ce ne soit pas le cas...

j'ai pas encore les log en question (et je doute que ce soit utile pour ma question)

mais si ça vous trotte, je repasserai les poster

donc, sachant que passer d'un mode à l'autre doit se limiter à un minimum de modifications sur les fichiers (on arrête de jouer aux 'cailles de l'admin-sys, pas besoin d'un httpd.conf pour chaque mode): quels seraient les passages à commenter pour n'utiliser qu'un protocole, ou les deux ?

premier élément de réponse:

j'ai cru lire que commenter l'include du extra/httpd-ssl.conf suffirait à bloquer le HTTPS

donc, pour HTTP+HTTPS, décommenter la ligne me suffit.

ma question se réduit alors à: comment (quand HTTPS tourne) empêcher l'utilisation d'HTTP ?

Merci

[theocrite]

C'est ça, tu grep -r listen dans ton /etc/apache2 et tu regarde partout où ça parle de 443.

Sous debian, c'est propre. C'est dans /etc/apache2/ports.conf :

Listen 80																																															   

<IfModule mod_ssl.c>																																													
# SSL name based virtual hosts are not yet supported, therefore no																																  
# NameVirtualHost statement here																																									
Listen 443																																														  
</IfModule>

Autrement, tu peux utiliser un firewall, ça évite les redémarrages d'apache et les changements de fichiers de conf.

[Amour]

Si on vire le "Listen 80" dans tous les cas le HTTP ne marchera pas

[Mephisto]

oui

effectivement, mon problème se situe plus au niveau de l'https, qui a été installé par un bras-cassé.

je vous tiens au courant quand j'aurai réglé ça.